La cybersécurité est devenue, au fil des années, une des principales priorités principales dans la coopération judiciaire et policière de l’UE. Face à l’évolution du monde numérique et des menaces qui y sont liées, l’Union européenne s’est vite rendue compte qu’il fallait agir à travers une coopération active entre les pays membres : la cybercriminalité ne connaît pas de frontières et une collaboration transnationale est donc nécessaire. Pour faciliter la lutte contre la cybercriminalité et améliorer la coopération entre les États membres, l’Union européenne a misé sur l’action des agences européennes concernées par la coopération judiciaire et policière. Mais en quoi consiste l’action des agences européennes face à la cybermenace ? Cette action est-elle réellement efficace et complète face à l’évolution du cyberespace?
L’action européenne visant la lutte à la cybermenace a été introduite par la Commission européenne en 2013 avec la présentation de la Stratégie de cybersécurité de l’Union européenne. Cette stratégie qui vise à la création d’un cyberespace « ouvert, sûr et sécurisé », se concentre sur trois objectifs principaux : la cyber-résilience, la cybercriminalité et la cyberdéfense. En effet en poursuivant des motivations économiques, politiques et idéologiques liées aux droits fondamentaux, la Stratégie de cybersécurité veut faire en sorte que l’UE atteigne la cyber-résilience, réduise drastiquement la cybercriminalité et développe des politiques de cyberdéfense.
Pour rendre possible la politique européenne en la matière, l’action des agences européennes est nécessaire : chaque agence agit dans un des trois domaines visés par la Stratégie afin de rendre le cyberespace plus sûr pour les citoyens, les gouvernements et les entreprises privées.
Pour mieux comprendre l’action européenne en termes de cybersécurité, attardons-nous sur la réelle capacité et la réalisation des trois objectifs par les agences européennes.
La cyber-résilience
La Cyber-Résilience, au niveau européen, prévoit que l’Union européenne puisse faire face aux cyber-risques et aux menaces cybernétiques de dimension transnationale. Cela permettrait une intervention coordonnée en cas d’urgence et un niveau de sécurité plus élevé sur le sol européen.
Le but est donc celui d’améliorer les moyens et les ressources, dans le secteur privé ou public, afin de prévenir, détecter et gérer les incidents de cybersécurité.
Pour renforcer la cyber-résilience l’Union européenne a crée en 2004 une agence capable de renforcer la sécurité des réseaux et de l’information : ENISA (European Union Agency for Network and Information Security).
ENISA a pour mission :
- D’assister et de conseiller, en tant qu’expert, les Etats membres et la Commission européenne afin d’intensifier leurs efforts dans la Protection des infrastructures l’Information (PIIC) et ainsi renforcer la sécurité des réseaux.
- De développer des bonnes pratiques afin créer de façon appropriée des stratégies de cybersécurité, des exercices de simulation de cyberincidents, ou des plans nationaux de contingence.
- De favoriser le contact et l’échange d’informations entre les différentes institutions nationales, en facilitant le dialogue entre le secteur public et le secteur privé, pour prévenir et répondre de façon efficace aux cyberincidents
L’agence ENISA est donc une agence technique d’expertise qui aide les Etats membres et l’Union européenne en matière de cybersécurité.
Son travail est aussi de sensibiliser les Etats, les entreprises privés et les citoyens des risques liés au cyberespace par le biais de rapports, l’organisation d’ateliers d’experts et le développement de partenariats public-privé.
La cybercriminalité
La cybercriminalité est un phénomène de plus en plus répandu et dangereux pour les utilisateurs d’internet : on estime que chaque jour plus d’un million de personnes sont victimes de cybercriminels qui profitent souvent de l’anonymat et de réseaux toujours plus sophistiqués.
L’Union européenne s’est vite rendue compte que pour combattre ce nouveau phénomène, il était nécessaire d’agir au niveau européen à travers la création une législation européenne solide et efficace, une meilleure coordination entre les pays membres et de nouveaux moyens opérationnels communs.
Pour réaliser cela, en 2013 l’UE a créé le Centre européen de lutte contre la cybercriminalité (EC3) au sein de Europol dans le but de mieux aider et coordonner les Etats membres et les services répressifs nationaux face aux cybermenaces. Si EC3 est pour ainsi dire le centre européen de « cyberintelligence », celui-ci collabore étroitement avec Eurojust qui est le bras judiciaire de l’UE et qui facilite les procédures légales transnationales.
L’EC3 déploie, donc, des aides techniques, opérationnelles et analytiques: il aide les Etats membres dans les opérations et dans les enquêtes à travers des moyens d’expertise, de coordination et d’analyse et il rend effective la collaboration entre les agences et les institutions impliquées dans la coopération policière face à la cybercriminalité.
Mais l’action du Centre européen se limite seulement à trois domaines de la cybercriminalité :
- la cybercriminalité commise par des groupes criminels organisés et générant des profits à large échelle c’est-à-dire la fraude en ligne
- la cybercriminalité qui crée des dommages importants aux victimes c’est-à-dire l’exploitation sexuelle des enfants en ligne
- la cybercriminalité visant les infrastructures critiques et les systèmes d’information dans l’UE à travers des cyberattaques
Pour ce qui concerne la fraude en ligne, légiférée par la décision-cadre du 28 mai 2001, l’EC3 agit dans le but de combattre les fraudes de paiements en ligne qui peuvent consister soit dans la duplication d’une carte bancaire (Card present fraud), soit dans l’utilisation illégale des données d’une carte bancaire (Card-not-present fraud).
En juin 2013, par exemple, l’EC3 a coordonné l’action de 16 Etats membres dans plus de 38 aéroports lors de l’opération « European Airline Action Day ». L’opération a porté au démantèlement d’un réseau de fraudeurs qui détournaient des cartes de crédit pour l’achat de billets d’avion : plus de 200 transactions suspectes ont été signalées et 117 arrestations ont eu lieu. L’opération a mis en évidence des liens entre ce réseau de fraudeurs et d’autres activités de cybercriminalité, comme par exemple, des viols de bases de données d’établissements financiers ou la diffusion de données de cartes de crédit.
La lutte à la fraude en ligne est d’autant plus importante que ce type de crime est toujours plus répandu et toujours plus de personnes utilisent le mode de paiement par carte: en 2013 ce type de fraude a engendré plus de 1,4 millions d’Euro, ce qui représente une augmentation de 8% par rapport à l’année précédente.
Pour ce qui concerne l’exploitation sexuelle des enfants en ligne, condamné par l’Union européenne le 13 décembre 2011 avec la Directive 2011/92/UE, l’EC3 est fortement impliqué dans la lutte contre la pédopornographie et le « cyberharcèlement » des enfants. La priorité du Centre européen est de protéger les victimes, mais surtout de prévenir ce type d’abus. En 2013, EC3 a soutenu 9 opérations dans Union européenne contre l’exploitation sexuelle des enfants.
Pour finir, les cyberattaques contre les infrastructures critiques et les systèmes d’information dans l’UE sont définis comme crimes de hautes technologies et légiférés par la directive 2013/40/EU du 12 août 2013. L’EC3 agit contre les logiciels malveillants, les logiciels de décodage, le piratage, l’«hameçonnage », l’intrusion et l’usurpation d’identité.
Le danger est d’autant plus grand que non seulement les citoyens peuvent être vulnérables mais aussi les institutions publiques ou les entreprises privé.
La première cyber attaque à l’encontre des institutions étatiques a été recensée en 2007 en Estonie : des sites russes ont, en effet, attaqué des sites de l’administration estonienne par le biais des réseaux zombies prenant le contrôle des données.
En ce qui concerne les entreprises privées sont très vulnérables face aux cyberattaques et leurs données sensibles sont souvent exposées aux dangers cybernétiques, comme dans le cas de AshleyMadison en mai et juillet 2015.
L’EC3 s’est notamment investi dans ce secteur de cybercriminalité. En juin 2013, par exemple, les opérations Ranson I et Ranson II ont été mises en place : elles ont démantelé un réseau criminel qui mettait en place des logiciels de décodage dans plus de 80 pays dans le monde en affectant 21.000 servers et porté à l’arrestations de 13 personnes et à la saisie de 50.000 Euro.
La cyberdéfense
Les efforts de cybersécurité prévoient notamment une dimension de cyberdéfense pour le développement d’outils de détection, intervention et récupération en cas de menace importante et cybernétique. Cela prévoit le déploiement d’une approche civile mais aussi militaire pour la protection des cyber infrastructures critiques. L’agence chargée de la cyberdéfense est l’Agence européenne de défense (AED) : elle définit les exigences de cyberdéfense opérationnelle de l’UE, promeut les moyens logistiques et les technologies de cyberdéfense, élabore des politiques européennes en la matière pour protéger les réseaux et pousse au dialogue entre acteurs civils et militaires, notamment des acteurs internationaux tels que l’OTAN.
Contrairement à ENISA qui s’occupe de la protection des réseaux, la AED s’occupe de la protection d’un point de vue militaire des infrastructures critiques de l’Etat, en particulier les institutions de Défense et d’Information.
Malgré le déploiement des agences dans la lutte contre les cybermenaces, la question de la cybersécurité est encore peu connue et avec peu de législation : l’Union européenne n’est pas assez armée dans un domaine où la sécurité est du ressort des Etats membres, eux-mêmes peu prêts à faire face à des possibles cyberattaques.
Emilie Gronelli
Pour en savoir plus
-. Site du EC3 https://www.europol.europa.eu/ec3
-. Site de l’Agence européenne de défense http://www.eda.europa.eu
-. Site de ENISA https://www.enisa.europa.eu
-. Internet Organised Crime Threat Assessment (IOCTA) https://www.europol.europa.eu/content/internet-organised-crime-threat-assessment-iocta-2015
-. Rapport 2014 du EC3 https://www.europol.europa.eu/content/european-cybercrime-center-ec3-first-year-report
-. Stratégie européenne de cybersécurité https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/Estonia_Cyber_security_Strategy.pdf